AI агенти откриха реален бъг в Ethereum, който можеше да сринe валидатори
Ethereum Foundation току-що показа какво се случва, когато насочиш флот от AI агенти към кода, на който работи мрежата. На 9 юли нейният екип по сигурност на протокола разкри, че координирани агенти са помогнали да се открие истински пропуск, достатъчно сериозен, за да получи собствено CVE.
Бъгът се намираше в gossipsub, част от peer-to-peer слоя, който всеки консенсусен клиент на Ethereum използва, за да разпространява блокове и атестации. Оттогава е поправен, но експериментът казва също толкова за AI, колкото и за мрежата.
Едно съобщение, един срив
Регистриран като CVE-2026-34219, пропускът позволяваше на всеки неавтентикиран пиър да изпрати едно нарочно съставено съобщение, което принуждаваше възела да извърши невъзможно изчисление и го изключваше, оставяйки валидатор офлайн, докато оператор не го рестартира. Тъй като нападателят можеше да се свърже отново и да повтори съобщението, сривът беше евтин за повтаряне.
Първопричината беше банална, непроверено аритметично препълване в начина, по който софтуерът обработваше рутинно съобщение за отлагане. Оценен беше като проблем със средна тежест и поправен във версия libp2p-gossipsub 0.49.4, като операторите бяха призовани бързо да обновят. Той последва и подобен бъг в същия компонент, знак, че областта се нуждае от по-внимателен надзор.
Продуктът е триажът
По-интересната находка беше за самата AI. Агентите бяха организирани в роли, разузнаване, лов, запълване на празнини и валидация, и се координираха чрез споделено хранилище на кода, а не чрез централен контролер, подход по модела на работа с флот от агенти.
Те генерираха огромно количество материал. Един агент произведе около 1 000 кандидати и само малка част бяха реални. Около 86 процента от най-добрите избори оцеляха при експертен преглед, но повечето отбелязани проблеми бяха убедителни фалшиви тревоги, сривове само в тестови компилации, атаки, изискващи стойности, които външен човек не може да достави, и доказателства, които технически издържат, но не показват нищо.
Затова фондацията обобщи урока не като брой бъгове, а като работен процес. „AI не замени изследователя по сигурност. Тя премести работата.“ Тесното място се измести от намирането на проблеми към разграничаването на реалните от шума.
Какво означава това за притежателите
За инвеститорите в ETH има две изводи. Добрата новина е, че процесът проработи, бъг със средна тежест в критична инфраструктура беше открит, поправен и оповестен без прекъсване. По-трудната истина е, че повърхността на сигурност на мрежата е огромна, разпределена между много клиенти, езици и зависимости.
Метриката, която сега си струва да се следи, е колко бързо операторите на възли реално обновяват, защото поправен бъг, който половината мрежа пренебрегва, все още е жив риск. Нищо от това не променя как държите актива, но е напомняне, че самостоятелното съхранение и актуалният софтуер имат значение, затова си струва да разгледате най-добрите крипто портфейли и да поддържате всичко обновено.
По-широкият сигнал е, че AI премина от одит на смарт договори към изследване на основния мрежов код. Не замени изследователите. Просто им подаде далеч по-голяма купчина за преценка.
За мрежа, която обезпечава стотици милиарди долари, тази промяна в начина, по който се откриват бъговете, може в крайна сметка да е също толкова важна, колкото и единичният поправен пропуск.